有没有办法通过 php.ini
或 .htaccess
禁止所有文件上传到服务器?
唯一的问题是,我希望有一个文件夹(例如管理文件夹)仍然可以上传。
我在考虑何时禁用 eval
和 exec
。
这个问题源于我看到感染了恶意软件的网站,这些网站位于服务器的所有随机位置 - 我最近看到的一个例子类似于:
eval(gzinflate(base64_decode("HZ3fdsfHjtfvdqlkdsfabf5Y7OAQfMCRc9YKaYc5o0mHOmmJ6+ .... ));
位于服务器上名为 stp.php
的文件中。我的想法是,如果网站用户不需要访问权限来上传文件(他们不需要),那么应该简单地禁用它。
最佳答案
是的。在您的 php.ini 文件中设置 file_uploads=Off
,如 here 所述.
这将禁用所有通过 HTTP 的文件上传。
关于php - 如何禁用所有文件上传到服务器?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14784993/